暫時關閉history的方法

 有時候不得不在命令列模式下面輸入密碼，但又不想要被history給紀錄到：

1. set +o history
2. sudo -u root bash -c "dmesg -T"
3. set -o history

這樣指令2, 3就都不會記錄在history裡面了。記得空格

_EOF_

災難恢復與可用性availability的時間點

量化系統可用性（Availability）的指標是時間，通常會說的是一年可容忍停機多久，或是用百分比來說明系統可用的時間，帶出來的幾個名詞是：

• SLA：Service Level Agreement服務水準協議
  廠商給予服務水準的正式承諾文件
• SLO：Service Level Objectives服務水準目標
  對SLA的服務標的之說明文件，像是在某個條件下的維修服務做到哪邊
• MTD：Maximum Tolerable Downtime 最大可容忍停機時間，通常會寫的是Annual MTD，以年為標準列出可停機的時間，MTD根據可用性高到低列出：

西元2023的資安證照地圖

資訊安全的證照百百種，下圖是Paul Jerimy在2023年一月給了473張資安證照地圖。當滑鼠移動到小方格的特定證照，會顯示全名與考試金額；點下去則會直接連到考試的官網。

橫軸不同的顏色代表著資訊安全的領域，由左到右分別是：

Windows用MobaXterm產生SSH金鑰

在Linux與Mac上可用終端機搭配ssh-keygen指令來產生SSH Key金鑰，在Windows上若是有安裝MobaXterm，則可用其內建的圖形化工具來做，步驟如下：

1. 點選Tools
2. 點選MobaKeyGen (SSH Key Generator)

HTTPS連線：使用不支援的通訊協定

用https連線網頁的時候，出現下面的錯誤訊息：

Secure Connection Failed
An error occurred during a connection to 1.2.3.4. Peer using unsupported version of security protocol.
Error code: SSL_ERROR_UNSUPPORTED_VERSION
...
This website might not support the TLS 1.2 protocol, which is the minimum version supported by Firefox.

上述錯誤訊息代表https連線的網站其TLS版本低於1.2，版本太舊而被Firefox給拒絕連線。其他瀏覽器的錯誤訊息會是：

SSH使用的加密種類與推薦的金鑰長度

使用SSH的時候，有下列幾種金鑰可以選用：

• Ed25519：Edwards-curve Digital Signature Algorithm (EdDSA) ，並選用 SHA-512 (SHA-2) 與 Curve25519，使用256-bits金鑰。安全強度2^128 security target約等同於RSA配3072-bit的金鑰。缺點是很新，舊系統可能無法使用。
• RSA：Rivest–Shamir–Adleman (RSA)，最常使用的公開金鑰演算法，目前建議金鑰長度選4,096 bits。注意現在的SSH用的是RSA version 2，很舊的機器上面才用RSA version 1。

Mac用ssh-keygen生成SSH金鑰對

要在Mac的機器上面使用SSH金鑰登入遠端機器，需要有SSH的金鑰對(private key私鑰與public key公鑰)。預設機器是沒有金鑰的，製作方式如下：

1. 打開終端機Terminal
2. 輸入指令ssh-keygen -t rsa -b 4096，輸入後會出現下面的提示訊息
   Enter passphrase (empty for no passphrase)
3. 上面的的passphrase是私鑰private key的密碼，設定以後優點是若私鑰被盜，還是需要再輸入一次passphrase才能使用，缺點是使用私鑰的時候還是需要輸入密碼。這邊可以直接按enter，那就沒有passphrase可直接使用私鑰。完成後系統產生的金鑰對會有兩個檔案：
• ~/.ssh/id_rsa：存放private key私鑰，權限是-rw-------
• ~/.ssh/id_rsa.pub：存放public key公鑰，權限是-rw-r--r--

CISSP資安認證的8大領域

CISSP (Certified Information Systems Security Professional, 資訊安全系統專家認證)是International Information Systems Security Certification Consortium (ISC)2 舉辦的認證，此資訊安全認證包含了八大主題領域，可記憶為SAS-CI-SSS：

1. 安全暨風險管理 Security and Risk Management 
2. 資產安全 Asset Security 
3. 安全架構與工程 Security Architecture and Engineering 
4. 通訊及網路安全 Communication and Network Security 
5. 識別暨存取控制 Identity and Access Management (IAM)
6. 安全性評估與測試 Security Assessment and Testing 
7. 安全性營運 Security Operations 
8. 軟體開發安全性 Software Development Security 

以上的中文非官方翻譯，是個人覺得比較好理解的講法。

事實查核網站的內容比新聞要有趣

最近厭煩了一般的新聞平台，發現謠言比新聞還要有趣。以下是相關網站：

• MyGoPen麥擱騙：識實數據有限公司，代表人為葉子揚
• 謠言澄清：列出查證過的網路傳言
• 詐騙破解：學習各種詐騙手段
• 真實訊息：有假就有真
• 台灣事實查核中心：財團法人新北市台灣事實查核教育基金會，董事長胡元輝
• 最新查核報告：由新到舊列出所有查核報告
• 專題：把容易出現謠言的議題統整出來

特種個人資料，列在個資法第6條

下列六項是特種個人資料，見個資法第6條與個資法施行細則第4條：

1. 病歷 (medical records)：施行細則第4條第1項 > 醫療法第67條第2項
• 醫師依醫師法執行業務所製作之病歷。
• 各項檢查、檢驗報告資料。
• 其他各類醫事人員執行業務所製作之紀錄。
2. 醫療 (healthcare)：施行細則第4條第2項 
• 指病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療
• 或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。
3. 基因 (genetics)：施行細則第4條第3項
• 指由人體一段去氧核醣核酸構成，為人體控制特定功能之遺傳單位訊息。

用w, who, last, lastlog看登入使用者

要看現在系統上有哪些人登入可以下面兩個指令

• w
• who | sort

要看過往有哪些人登入可以用下面的指令

• last：依據登入時間排序，看的資料是/var/log/wtmp
• last -i | sort -k 3：依據登入的IP做排序
• last -f /var/log/wtmp-xxxxxx：看/var/log/wtmp-xxxxxx的資料
• last USERNAME：看某個使用者的登入時間資料

看所有使用者最後的登入時間

Pieces0310@網管人

在找BitLocker的時候找到Pieces0310在網管人上發表的文章。對於系統安全有興趣的可以看一下內文，了解實際上的運作是如何：

• 已知明文攻擊破案找真兇　找出關鍵內容解除疑竇
• 反向追查鑑識備份檔　解密竊盜手法還原真相：營業秘密間諜在手機裝木馬
• 隱形跡證撿出金鑰　破解BitLocker全機加密：Windows全硬碟加密與解密
• 中間人攻擊結合ARP欺騙　手機上網營業秘密全都露：另外一種手法竊取營業秘密
• 破解Windows系統還原點 找回已被徹底刪除檔案

列出檔案並根據修改日期排序

機器中了綁架病毒（Ransomware），將所有檔案加密後，檔名後綴.adage。這時候想要知道這隻綁架病毒從什麼時候開始將檔案加密，將檔案依照修改時間排序：

• find . -name "*.adage" -printf "%T@ %Tc %p\n" | sort -n | tail -5

上述指令的參數說明如下：

秋水逸冰

《秋水逸冰》這個部落格是Teddysun用來記錄文章的地方，主要是各種電腦與網路技術，比較有名的就是一鍵安裝系列：

• L2TP/IPSec一键安装脚本：在自己的電腦上安裝VPN
• 一键测试脚本bench.sh：測試電腦的連線速度
• Linux性能测试UnixBench一键脚本：測試電腦的運作速度
• 一键安装最新内核并开启 BBR 脚本：升級系統的kernel
• LAMP一键安装脚本：Linux+Apache+MySQL+PHP,Perl,Python
• LAMP一键安装脚本使用说明：上述安裝的說明文件
• CentOS 7下LAMP一键安装
• 一键安装KMS服务脚本：提供Windows啟動的KMS服務，弔詭的是這個服務是安裝在Linux上面的~
• 一键备份脚本backup.sh：使用openssl加密，用gdrive上傳
• 利用iptables屏蔽各国IP的脚本

防火長城（牆）與VPN簡介

防火長城（牆）與VPN（翻牆梯）究竟如何運作？2m33s

Signal：一個私密通訊的App與軟體

下面的影片簡介Signal這個私密通訊軟體，在中國可以使用，16m25s

Telegram開啟點對點加密通訊

Telegram這套通訊軟體預設並不是點對點加密(End-to-End Encryption)，必須要用下面的步驟開啟：

1. 首頁找到"Chat"
2. 點上面"Chats"右邊加入新的聊天室
3. 選取"New Secret Chat"

這樣開啟的聊天就會是點對點加密，但有下面幾個特性：

限制root從某些IP才能用ssh登入

限制使用者用ssh從某些IP最簡單的方式為TCP wrapper（修改/etc/hosts.allow），但若只是要限制root從某些IP才能夠登入，就無法使用TCP wrapper的方式

要達成此目的，只要設定 /etc/ssh/sshd_config 成下方的樣子：
PermitRootLogin no
Match Address 140.112.1.1,140.113.1.*,140.114.*.*
    PermitRootLogin yes

讓SSH僅允許用金鑰登入

用ssh登入遠端主機有兩種方式：

1. 輸入帳號密碼，參考《SSH遠端連線，接視窗回本機使用》
2. 帳號配合金鑰，參考《SSH遠端登入不用密碼》

第1種方式會遇到不安好心的人士測試帳號密碼，所以對於比較重要的帳號，可以關閉第1種登入的方式，只允許用第2種方式也就是金鑰登入。關閉的方式是設定/etc/ssh/sshd_config，在檔案的最後面加入：

Match User user1,user2,user3
    PasswordAuthentication no

將sshd開在許多個port上面

加密連線服務sshd預設是開在port 22上面，若想要開在其他的port上面，並且把port 22給關掉，修改/etc/ssh/sshd_config開頭是Port的那幾行，如下：

Port 11111
Port 22222
Port 33333
Port 44444

然後重新啟動sshd的服務：

• sudo service ssh restart

這樣sshd就會在11111, 22222, 33333, 44444, 55555這五個port工作了～